Databehandleraftale

1. Parterne

Denne aftale om indsamling, lagring og brug af dokumenter og oplysninger (i det følgende benævnt “databehandleraftalen”) er indgået af og mellem: WhistleSystem ApS, herefter “leverandøren” CVR-nummer: 41576561 Adresse: Roholmsvej 12A, 2620 Albertslund (“databehandleren”, “vi”, “vores”, “os” osv.) og organisationen, der accepterer denne aftale (“dataansvarlig “, “dig”, “dine” osv.)

2. Definitioner

2.1. Termer og udtryk med store bogstaver, der anvendes i databehandleraftalen, skal have den betydning, der er angivet i servicelicensaftalen underskrevet mellem parterne eller i dette afsnit 2 . Ethvert andet udtryk med store bogstaver, der ikke er defineret, skal have betydningen beskrevet i GDPR. 2.2. “Fortrolig information” betyder al informationsudveksling foretaget af parterne, herunder, men ikke begrænset, til oplysninger af teknisk, forretningsmæssig, infrastrukturel eller lignende art, uanset om disse oplysninger er dokumenteret, bortset fra oplysninger, der er eller vil blive gjort tilgængelige på en anden måde end ved overtrædelse af databehandleraftalen og alle personlige data. 2.3. “dataansvarlig “, “dig”, “dine” osv. betyder en bruger eller abonnent på tjenesten leveret af databehandleren. 2.4. “Datasubjekt” betyder den identificerede eller identificerbare fysiske person, som personoplysninger henviser til. 2.5. “GDPR” betyder den generelle databeskyttelsesforordning (EU-forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af persondata og om fri udveksling af sådanne data). I Danmark suppleres GDPR med lov om supplerende bestemmelser til forordningen om beskyttelse af fysiske personer med hensyn til behandling af personoplysninger og om fri udveksling af sådanne oplysninger (lov nr. 502 af 23. maj 2018 som ændret fra tid til anden) (“databeskyttelsesloven”). I henhold til databehandleraftalen skal en henvisning til GDPR også være en henvisning til databeskyttelsesloven. 2.6. “Parter” betyder kunde og databehandler i fællesskab og hver en “part”. 2.7. “Personoplysninger” betyder enhver information, der vedrører en identificeret eller identificerbar fysisk person (“datasubjekt”). En identificerbar fysisk person er en person, der kan identificeres direkte eller indirekte, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, placeringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet for den fysiske person. Kategorier af personoplysninger, der behandles af databehandleren under databehandleraftalen, er beskrevet i tillæg 1 til databehandleraftalen. 2.8. “Forhåndsgodkendte underleverandører” skal være vores underleverandører, der er anført i tillæg 2 til databehandleraftalen, som er godkendt af kunden. 2.9. “Tjenester” betyder alle tjenester, der leveres til dig af os, inklusive, men ikke begrænset til, vores levering af licens til at bruge softwaren og andre it-værktøjer eller softwareprogrammer, der er udviklet af databehandler, hosting af data, supporttjenester osv. 2.10. “Software” betyder WhistleSystem som en tjeneste som defineret i servicelicensaftalen, inklusive parter deraf. 2.11. “Tredjepart” betyder en fysisk eller juridisk person, offentlig myndighed, et agentur eller organ bortset fra datasubjektet, databehandleren, kunden og personer, der under databehandlerens eller kundens direkte myndighed er bemyndiget til at behandle persondata.

3. Scope

3.1. Databehandleraftalen vedrører parternes forpligtelser i forbindelse med vores behandling af personoplysninger til kunden i forbindelse med kundens brug af vores tjenester. 3.2. I henhold til databehandleraftalen beslutter kunden til hvilket formål og ved hjælp af hvilke værktøjer, personoplysninger kan behandles. 3.3. Databehandleraftalen gælder for alle databehandlerens nuværende og fremtidige tjenester for alle virksomheder inden for kundens gruppe af virksomheder, for hvem vi behandler personoplysninger. 3.4. Kategorierne af personoplysninger, der behandles af os under databehandleraftalen, er beskrevet i tillæg 1 til databehandleraftalen.

4. Orden

4.1. Databehandleraftalen underskrevet i forbindelse med servicelicensaftalen har forrang i tilfælde af uoverensstemmelser mellem databehandleraftalen og servicelicensaftalen.

5. Godkendelse til behandling af personlige data

5.1. Vi behandler personoplysninger i henhold til GDPR, herunder gældende dansk lovgivning udstedt i henhold til GDPR eller som et supplement hertil. 5.2. Ved at indgå databehandleraftalen beder vi dig om lov til at behandle dine personoplysninger med det formål at levere vores tjenester til jer. 5.3. Vi er ikke berettigede til at bruge de personoplysninger, du leverer, til andre formål end opfyldelse af databehandleraftalen. Vi har dog ret til at bruge anonymiserede data (som ikke længere kan kategoriseres som “persondata”) til historiske, statistiske, videnskabelige eller lignende formål.

6. Opbevaring af persondata og overførsel af persondata til tredjelande

6.1. Som hovedregel udføres databehandlerens aktiviteter inden for EU/EØS. Vores underleverandører kan dog være placeret eller behandle personoplysninger uden for EU/EØS, herunder eksemplet, hvor kunden har givet sit samtykke til databehandlerens brug af de forhåndsgodkendte underleverandører som underleverandører, der er anført i tillæg 2 til databehandleraftalen. 6.2. Før overførsel af personoplysninger til et tredjeland eller en international organisation uden for EU/EØS skal den dataansvarlige vurdere, om en sådan overførsel af personoplysninger sikrer et tilstrækkeligt beskyttelsesniveau for personoplysningerne, og sikre, at overførslen er i overensstemmelse med reglerne om overførsel af personoplysninger til tredjelande eller internationale organisationer i henhold til GDPR. 6.3. Vi vil sikre, at eventuelle delbehandleraftaler mellem databehandler og forhåndsgodkendte underleverandører uden for EU eller EØS har et tilstrækkeligt beskyttelsesniveau for personoplysningerne og om nødvendigt er indgået i henhold til EU-Kommissionens beslutning fra 2010/87/EU (om standardmodelkontrakten om overførsel af personoplysninger til lande uden for EU eller EØS ud over enhver tilladelse fra databeskyttelsesmyndighederne), hvis det er juridisk påkrævet.

7. Fortrolighed

7.1. Parterne accepterer, både i databehandleraftalens løbetid og efterfølgende, ikke at videregive fortrolige oplysninger til en tredjepart. Denne fortrolighedsforpligtelse gælder ikke for oplysninger, som (a) en part er forpligtet til at oplyse i henhold til gældende lovgivning, bestemmelser eller børsregler, (b) oplysninger, der gives til kundens kunde, hvis sådanne oplysninger stammer fra kundens kunde eller fra en part, der betragtes som en kunde hos kunden eller (c) oplysninger, som parten selv har oprettet i et partsdokument. 7.2. Parterne sikrer, at medarbejdere og konsulenter, der modtager fortrolige oplysninger, er forpligtet til at acceptere en lignende forpligtelse vedrørende fortrolige oplysninger fra den anden part og samarbejdet generelt i overensstemmelse med databehandleraftalen. 7.3. Vi vil sikre, at alle personer, der er ansat af os med adgang til personoplysninger, er fortrolige med databehandleraftalen og er underlagt bestemmelserne i databehandleraftalen.

8. Tekniske og organisatoriske foranstaltninger

8.1. Databehandleren skal, idet der tages hensyn til de risici, der er forbundet med behandlingen af personoplysninger for kunden, gennemføre passende og rimelige tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risiciene ved databehandlingen af personoplysninger i henhold til databehandleraftalen, herunder med rimelighed at sikre a) pseudonymisering og kryptering af personoplysninger, b) løbende fortrolighed, integritet, tilgængelighed og robusthed af de behandlingssystemer og tjenester, som databehandleren er ansvarlig for, c) rettidig inddrivelse af tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse, d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden, og e) at personoplysninger ikke ødelægges ved et uheld eller ulovligt, går tabt eller forringes, og at uautoriseret videregivelse eller misbrug ikke sker i strid med gældende lovgivning om personoplysninger. 8.2. Kunden skal fastlægge det relevante niveau af tekniske og organisatoriske foranstaltninger. Databehandleren skal dog efter forudgående skriftlig anmodning fra kunden og inden for rimelig tidsfrist fra en sådan anmodning give kunden tilstrækkelige oplysninger til at dokumentere, at ovennævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

9. Datasubjektets rettigheder

9.1. Databehandleren skal efter anmodning fra kunden, på kundens bekostning og uden unødig forsinkelse, yde al rimelig bistand og information til kunden i forbindelse med en anmodning fra datasubjektet vedrørende databehandlerens behandling af personoplysninger for kunden, herunder anmodninger i forbindelse med udøvelse af datasubjektets rettigheder i henhold til GDPR. 9.2. Databehandlerens gebyrer for assistance til kunden er beskrevet i afsnit 14.3.

10. Brud på datasikkerhed

10.1. I tilfælde af et brud på datasikkerheden, som databehandleren (eller en forhåndsgodkendt underleverandør) er ansvarlig for, skal databehandleren informere kunden herom uden unødig forsinkelse og hjælpe med, hvad der er nødvendigt for at stoppe bruddet og minimere dets omfang.

11. Brug af underleverandører

11.1. Databehandleren må ikke bruge underleverandører uden kundens forudgående skriftlige godkendelse. 11.2. Kunden har givet sit samtykke til databehandlerens brug af de forhåndsgodkendte underleverandører som underleverandører, der er anført i tillæg 2 til databehandleraftalen. 11.3. Databehandleren skal informere kunden om alle planer om enten at tilføje eller erstatte forhåndsgodkendte underleverandører. Der må ikke føjes en underdatabehandler til listen over forhåndsgodkendte underleverandører uden kundens forudgående skriftlige godkendelse. 11.4. Hvis vi bruger en underleverandør til at udføre specifikke behandlingsaktiviteter på vegne af kunden, pålægges underleverandøren de samme databeskyttelsesforpligtelser som beskrevet i databehandleraftalen i en skriftlig aftale. 11.5. Når vi bruger en underleverandør til at levere tjenesterne til dig i henhold til databehandleraftalen, er vi fortsat ansvarlige for underleverandørens handlinger eller manglende handling/overtrædelse på samme vilkår som for vores egne tjenester. 11.6. Al kommunikation mellem kunden og underleverandøren skal gå gennem databehandleren.

12. Kundens adgang til persondata

12.1. I databehandleraftalens løbetid har kunden fuld adgang til alle personoplysninger, der behandles af databehandleren for kunden. Kunden vil ikke have adgang til personoplysninger, der behandles af databehandler for andre kunder. 12.2. Hvis det er relevant, og kunden anmoder om det, er databehandleren forpligtet til at opbevare en sikkerhedskopi af personoplysninger og yderligere oplysninger tilgængelige i databehandlerens systemer i op til tredive (30) dage efter udløbet eller opsigelsen af databehandleraftalen. Forudsat at en sådan anmodning er fremsat, kan kunden, indtil udløbet af en sådan 30-dages periode og uanset årsagen til udløbet af databehandleraftalen, anmode om adgang til personlige data og yderligere oplysninger, der er registreret i en sådan sikkerhedskopi. 12.3. Databehandler må kun videregive personoplysninger og oplysninger til kunden og/eller til en tredjepart, der er udpeget af kunden.

13. Samarbejde med tilsynsmyndigheden

13.1. Databehandleren skal altid give tilsynsmyndigheder og kunden den nødvendige adgang til og indsigt i de personoplysninger, der behandles, og de systemer, der anvendes. 13.2. Kunden og databehandleren og i givet fald deres repræsentanter samarbejder efter anmodning fra tilsynsmyndigheden om udførelsen af dens opgaver.

14. Support, omkostninger og gebyrer

14.1. For al den nødvendige bistand og/eller for at udøve sin ret til revision skal den dataansvarlige skriftligt underrette leverandøren med mindst ti (10) kalenderdage i forvejen med angivelse af den nødvendige revision eller bistand, dens formål og den forventede varighed af den henviste bistand eller revision. Alle udgifter, som leverandøren måtte pådrage sig, når kunden bliver bedt om at udøve sine rettigheder som dataansvarlig, herunder, men ikke begrænset til, retten til at revidere, gennemgå, inspicere og/eller hjælpe kunden med at opfylde sine forpligtelser som dataansvarlig, afholdes af kunden. 14.2. Med undtagelserne i afsnit 14.1 og 14.3 er omkostninger i forbindelse med databehandlerens forpligtelser i henhold til databehandleraftalen inkluderet i de gebyrer, som kunden har betalt til leverandøren for kundens brug af tjenesterne. 14.3. Uanset afsnit 14.1 har vi ret til at opkræve et gebyr for vores hjælp til dig i forbindelse med din revision, inspektion eller revision af os som databehandler. Gebyret vil blive opkrævet i henhold til tid brugt af os med en timeløn på 150 euro. Beløbet er underlagt årlig indeksering i henhold til “Producentprisindeks for tjenesteydelser” som offentliggjort af Danmarks Statistik. 14.4. Ud over det gebyr, der er nævnt i punkt 14.3 ovenfor, har vi ret til et særskilt gebyr for følgende tjenester: 14.4.1. Support til kunden med besvarelse af anmodninger fra datasubjektet. 14.4.2. Support til kunden i forbindelse med analyse af virkningen af privatlivets fred (“PIA’er”). 14.4.3. Implementering af særlige tekniske eller organisatoriske sikkerhedsforanstaltninger efter kundens anmodning (forudsat og kun i det omfang, databehandleren kan gennemføre de pågældende tekniske eller organisatoriske sikkerhedsforanstaltninger). 14.5. Ovennævnte gebyrer vil blive opkrævet i overensstemmelse med afsnit 14.3.

15. Ansvar

15.1. I henhold til vilkårene i den aftale, der er indgået mellem parterne, er parternes ansvar i forbindelse med behandling af personoplysninger i henhold til databehandleraftalen reguleret i overensstemmelse med GDPR. 15.2. Erstatningskrav og erstatningsansvar må under ingen omstændigheder overstige fem gange (5x) det årlige abonnementsgebyr, der er aftalt i den aftale, som parterne har underskrevet. 15.3. Vi er ikke ansvarlige for eventuelle bøder, som du modtager for overtrædelser af GDPR, uanset om det er ved dom, lignende foranstaltning fra nogen domstol, offentlig myndighed eller tilsynsmyndighed.

16. Garanti

16.1. Ved at indgå databehandleraftalen garanterer kunden, at vi lovligt kan behandle personoplysninger til levering af tjenester til kunden. Kunden accepterer at holde os skadesløse for ethvert krav om erstatning eller andre betalinger, som vi er dømt til at betale enten ved afgørelse, dom eller lignende foranstaltning af en kompetent domstol, statslig myndighed eller tilsynsmyndighed, på grund af kundens misligholdelse af sine forpligtelser i henhold til denne klausul.

17. Effektiv dato og opsigelse

17.1. Databehandleraftalen indgås ved parternes underskrift og træder i kraft på den sidste parts underskriftsdato. 17.2. Ved at abonnere på vores tjenester og dermed indgå databehandleraftalen bekræfter du, at du er autoriseret til lovligt at handle på vegne af kunden og forpligter dig til vilkårene i databehandleraftalen. 17.3. Databehandleraftalen udløber på datoen for det effektive ophør af kundens brug af databehandlerens tjenester. Vilkårene i databehandleraftalen gælder dog, så længe databehandleren behandler personoplysninger på vegne af kunden. 17.4. Efter databehandleraftalens effektive opsigelse sletter eller returnerer vi de personoplysninger, vi har om dig i henhold til databehandleraftalen inden 12 måneder. Hvis du ønsker at få dine personoplysninger returneret, skal du give os din anmodning om at returnere personoplysningerne uden unødig forsinkelse og senest tredive (30) dage efter databehandleraftalens effektive opsigelse.

18. Ændringer i gældende databeskyttelseslovgivning

18.1. Hvis en ændring i den gældende obligatoriske databeskyttelseslovgivning, der gælder for kunden eller databehandleren, kræver, at databehandleren (i) logger enhver yderligere dokumentation med henblik på obligatorisk overholdelse af databeskyttelsesreglerne, (ii) gennemfører yderligere tekniske og organisatoriske foranstaltninger ud over dem , der er anført heri, eller (iii) accepterer yderligere forpligtelser ud over dem , der er angivet heri, og et sådant krav, der er nævnt i (i)-(iii) ovenfor, medfører yderligere omkostninger eller risici for databehandleren, er parterne enige om i god tro at forhandle om en rimelig justering af eventuelle gældende gebyrer. Hvis parterne ikke kan blive enige om en rimelig justering af gældende gebyrer, er databehandleren berettiget til at opsige tjenesterne med tredive (30) dages varsel med skriftlig meddelelse. 18.2. Afsnit 18.1 finder tilsvarende anvendelse, hvis (i) kunden pålægger databehandleren at udføre tjenester, der ikke er omhandlet i databehandleraftalen, eller (ii) hvor det er obligatorisk gældende databeskyttelseslovgivning, der gælder for kunden eller databehandleren, eller den relevante tilsynsmyndighed, der pålægger databehandleren forpligtelser ud over dem, der er anført heri.

19. Gældende lovgivning og juridisk værneting

19.1. Databehandleraftalen er underlagt dansk ret med Københavns Byret som sit juridiske værneting med mulighed for indbringelse og appel i overensstemmelse med retsplejeloven. De Forenede Nationers konvention om aftaler om internationalt salg af varer (Convention on Contracts for the International Sale of Goods, CISG) finder ikke anvendelse på databehandleraftalen.

Appendiks 1 – Kategorier af personoplysninger

Kategorier af personoplysninger I. Databehandleren skal på vegne af kunden behandle følgende kategorier af personoplysninger: Personoplysninger til administration og udførelse efter aftalen underskrevet af parterne: a. Kontaktoplysninger, herunder navn, brugernavn, adresse, telefonnummer, e-mail og arbejdstitel b. Personoplysninger til fakturaformål c. Personoplysninger, som indberettes af kunden igennem systemet. II. Særlige kategorier af personoplysninger Databehandleren behandler ikke særlige kategorier af personoplysninger på vegne af kunden, medmindre disse indberettes af kunden igennem systemet. Appendiks 2 – Forhåndsgodkendte underdatabehandlere:
Godkendte underdatabehandlere Omfanget og formålet med behandlingen Behandlings- og opbevaringssteder (f.eks. land/stat) Retsgrundlag for overførsel af personoplysninger (hvis relevant) (f.eks. EU-Kommissionens standardkontraktbestemmelser, EU’s og USA’s rammer for privatlivets fred, BCR osv.)
AWS Hostingudbyder EEA/EU Overholdelse af standardvilkår og betingelser
iSphere ApS Softwareudvikling EEA/EU Overholdelse af standardvilkår og betingelser
Microsoft Opbevaring af kontrakter og dokumenter EEA/EU Overholdelse af standardvilkår og betingelser